大家好，我是阿義，數(shù)據(jù)安全系列進行到第4期啦，防止惡意訪問、外部竊取，敏感信息！防護內(nèi)部生產(chǎn)系統(tǒng)安全業(yè)務訪問，攻擊行為精確攔截！符合通信行業(yè)安全合規(guī)政策檢測要求！大數(shù)據(jù)下的運營商，安全不止一點點~~

01

運營商零信任端點安全解決方案

解決方案

中國電信集團云網(wǎng)運營部下發(fā)的中國電信云運〔2019〕2 號-《關于印發(fā) IT 安全能力建設與運營實施要求的通知》，推進各省 IT 安全能力建設，要求指出通過構建統(tǒng)一WEB、統(tǒng)一APP、統(tǒng)一運維、統(tǒng)一終端接入能力，完善邊界防護，形成集約的邊界訪問控制能力。此外，其他電信運營商也有類似需求。

運營商內(nèi)部應用系統(tǒng)不斷迭代，快速更新的情況，安全邊界的防護已不再是一成不變的。內(nèi)部員工、供應商、外包人員等不同類型用戶，需要隨時隨地訪問業(yè)務系統(tǒng)辦公，如：營業(yè)門戶、云網(wǎng)采控平臺、融合計費賬務系統(tǒng)、優(yōu)信PC端、堡壘機等。業(yè)務訪問存在兩種場景：（1）企業(yè)設備在DCN網(wǎng)絡或因公攜帶辦公筆記本出差；（2）個人設備通過互聯(lián)網(wǎng)接入。

同時全省大量終端應執(zhí)行統(tǒng)一的安全策略，大幅降低黑客入侵可利用的脆弱點，高效辦公、高效進行桌面維護，落地信息安全制度，建立日常安全管理基線，保證業(yè)務的安全性和穩(wěn)定性。

解決方案

以聯(lián)軟科技UniSDP產(chǎn)品為基礎的《運營商零信任端點安全解決方案》，基于零信任架構，構建全省統(tǒng)一終端安全接入、安全防護、數(shù)據(jù)安全管控平臺，全面提升終端安全防護水平和安全保障能力。

●環(huán)境感知準入：客戶端根據(jù)終端接入的網(wǎng)絡環(huán)境不同使用不同的認證方式和安全策略，DCN網(wǎng)使用傳統(tǒng)準入認證與準入安全檢查策略，互聯(lián)網(wǎng)使用零信任網(wǎng)絡認證和零信任網(wǎng)絡的安全檢查策略。

●應用系統(tǒng)隱身：非合規(guī)用戶與終禁止訪問對應網(wǎng)絡權限，應用系統(tǒng)服務器地址、端口隱藏在網(wǎng)關后，使之不被掃描發(fā)現(xiàn)。

●動態(tài)的訪問控制：基于4A統(tǒng)一認證平臺身份權限，構建了最小化接入權限后，再基于環(huán)境、行為、威脅等多維屬性進行更細粒度的動態(tài)訪問控制。

●持續(xù)的信任評估：持續(xù)信任評估是零信任體系從零開始構建信任的關鍵手段。在訪問的過程中實時持續(xù)的進行信任評估和安全檢查，基于風險建模和信任評估模型，對用戶的權限進行動態(tài)調整。

●終端標準化安全防護：終端接入之后，啟用端到端的立體防護、主動防御能力，加強終端安全防護、運維支撐、防泄密等方面管理。

業(yè)務價值與方案優(yōu)勢

依托業(yè)界先進的零信任安全理念，運用動態(tài)的細粒度訪問控制技術、網(wǎng)關隱身單包授權協(xié)議、可靠的終端安全管控功能，模塊化的平臺架構和開放的架構體系，實現(xiàn)用戶動態(tài)按需授權訪問，確保接入企業(yè)的接入用戶可信、終端可信、網(wǎng)絡可信、服務可信。

為運營商打造統(tǒng)一的終端安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的應用系統(tǒng)發(fā)布中心、統(tǒng)一的端管云安全運維中心。運營商安全系統(tǒng)架構從網(wǎng)絡中心化走向身份中心化。

代表客戶

中國電信江蘇分公司。

02

運營商數(shù)據(jù)交換通道安全解決方案

需求背景

基于合規(guī)和安全需要，運營商普遍對網(wǎng)絡進行了安全區(qū)域劃分和邏輯隔離。通常分為BOSS區(qū)域（業(yè)務運營支撐系統(tǒng)區(qū)域）、辦公區(qū)域、訪客區(qū)域等，其中BOSS區(qū)域是安全等級最高，也是安全控制的重點保護區(qū)域，對所有進出該區(qū)域的軟件、數(shù)據(jù)、信息流都需實施嚴格的管控，確保該區(qū)域是安全、可信和可控。

BOSS系統(tǒng)涉及“計費及結算”、 “營業(yè)與帳務”、“客戶服務”等各種重要系統(tǒng)，其數(shù)據(jù)不可避免的存在流轉需要，一旦重要數(shù)據(jù)交換非授權離開高等級區(qū)有泄密的風險。部分省份運營商選擇搭建VDI桌面保護業(yè)務數(shù)據(jù)，但缺少VDI桌面之間流轉或提數(shù)至辦公網(wǎng)終端的通道；其他省份運營商則在省/市公司搭建了FTP服務器用于兩網(wǎng)間數(shù)據(jù)取數(shù)，但對FTP通道缺乏相應安全保護。

解決方案

以聯(lián)軟科技UniNXG網(wǎng)間數(shù)據(jù)交換系統(tǒng)為基礎的《運營商數(shù)據(jù)交換通道安全解決方案》從管理和服務兩個方面達到運營商行業(yè)隔離網(wǎng)絡數(shù)據(jù)交換“可控、可審、可管”的目標。

●通道安全性：同時跨接兩個不同級別的安全區(qū)，維持原有隔離網(wǎng)絡的隔離性，避免被作為外部入侵的跳板。并對交換的文件內(nèi)容，自動審計、病毒掃描；

●可信數(shù)據(jù)交換：高等級區(qū)進行數(shù)據(jù)交換可強制開啟審批，提供豐富的審批流程。同時支持對交換的文件內(nèi)容敏感性掃描；

●易用性高：網(wǎng)盤式操作體驗，劃分不同管理角色，分別進行事中控制和事后追溯。

業(yè)務價值與方案優(yōu)勢

滿足監(jiān)管機構的相關要求，更能使得運營商數(shù)據(jù)交換通道的管理水平上升到更高層次。做到權限可控，強制審批，審計追溯等功能，有效解決從BOSS區(qū)域取數(shù)的安全風險。

代表客戶

中國移動安徽分公司。

03

運營商移動化安全管理解決方案

需求背景

隨著移動互聯(lián)網(wǎng)的發(fā)展，為了提高員工辦公的體驗和提高辦公效率，運營商已經(jīng)開展以移動辦公（如天翼助手、移動OA等）、創(chuàng)新業(yè)務（如智慧營維、翼運維等）等多種依托互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的應用。每個移動業(yè)務都需要開放相應的互聯(lián)網(wǎng)訪問端口提供訪問，隨著應用的增加，其移動業(yè)務的互聯(lián)網(wǎng)暴露面也隨之增加，安全風險不斷加大。

遵循集團規(guī)范《中國電信互聯(lián)網(wǎng)暴露面網(wǎng)絡安全管理辦法》（中電信網(wǎng)安〔2019〕26號文），及《中國電信IT 安全保障體系建設規(guī)范v3.0》，需要從整體出發(fā)全方位的去建設電信移動信息化。

解決方案

以聯(lián)軟科技UniEMM移動安全管理系統(tǒng)為基礎，圍繞終端、傳輸、服務和管理等多方面，滿足運營商認證、授權、審計、賬號安全管理等完整的4A安全體系，建設互聯(lián)網(wǎng)應用網(wǎng)關，提供APP應用的統(tǒng)一入口，降低互聯(lián)網(wǎng)暴露面，提升集約防護能力。

●安全網(wǎng)關：應用層VPN，支持將安全應用的HTTP/HTTPS請求封裝轉發(fā)到防火墻內(nèi)的業(yè)務系統(tǒng)。斷線可自動重連，解決傳統(tǒng)VPN在網(wǎng)絡切換、網(wǎng)絡狀況不穩(wěn)定情況下的掉線、重新?lián)芴柕穆闊?/span>

●安全門戶：支持對接運營商4A平臺，門戶及所有APP可使用同一賬號進行登錄，且賬號只需輸入一次。

●免密登錄：讀取SIM卡信息，無需賬戶密碼登錄門戶及應用。

●應用快速改造：企業(yè)原生應用通過“修改一行代碼完成改造”，即可調用安全SDK加入安全特性（加密存儲、加密隧道、安全掃描等），將原有業(yè)務快速向移動端遷移改造。同時支持安卓與蘋果系統(tǒng)。

●安全獨立的工作區(qū)：采用的沙箱技術很好的將企業(yè)數(shù)據(jù)和個人數(shù)據(jù)完全隔離，所有的企業(yè)應用和數(shù)據(jù)都存儲在受保護的安全工作區(qū)內(nèi)，避免非法存取企業(yè)數(shù)據(jù)；提供安全閱讀工具保障企業(yè)文檔安全使用無需調用第三方閱讀應用；提供專利級水印技術對移動業(yè)務數(shù)據(jù)進行防護，降低無意識泄密的概率，同時可以對數(shù)據(jù)泄密事件提供追溯手段。

●日志報表：控制端可記錄并展示管理員的操作、時間和結果，設備的違規(guī)事件，執(zhí)行策略、攔截事件和日常事件等。

業(yè)務價值與方案優(yōu)勢

滿足集團安全檢查，保護內(nèi)網(wǎng)業(yè)務服務器，隱藏業(yè)務IP與端口。保證移動智能終端使用應用級VPN隧道接入，安全通道建立用戶無感知，與個人應用隔離。業(yè)務數(shù)據(jù)加密存儲，水印防擴散。通過提供安全隧道SDK、安全內(nèi)容SDK做運營商自建門戶的保護。

代表客戶

中國電信安徽分公司、中國電信湖南分公司等。

更多信息請點擊：聯(lián)軟科技 - 平臺級網(wǎng)絡與信息安全管控專家 (leagsoft.com)